张莹，高玉琢，滑斌

(宁夏大学信息工程学院，宁夏银川750021)

一种基于信息熵的协议分析算法

张莹，高玉琢，滑斌

(宁夏大学信息工程学院，宁夏银川750021)

随着互联网的快速发展，IPv4地址被大量使用即将耗尽，IPv4向IPv6过渡已成为必经之路。IPv6环境下网络取证将会出现很多问题.文章以分析IPv6协议的基本报文格式为基础，分析了IPv6网络环境下网络取证的难点，提出了一种解决网络取证问题的算法，即基于信息熵的协议分析算法，并给出了算法分析流程。

IPv6；网络取证；协议分析

1 概述

近年来，随着互联网网络犯罪手段的不断升级、网络安全防御技术的不断发展，越来越多的法律安全专家和技术人员意识到，遏制计算机网络犯罪不能完全依赖于网络安全技术，必须结合法律的威慑制裁和技术应用来共同打击网络犯罪。就是在这种环境下产生了网络取证(Network Forensic)技术，并且随着互联网的快速发展，网络取证技术也越来越成熟。但随着当前IPv4地址即将耗尽，IPv6会很快替代IPv4进入下一代互联网时代，IPv6的应用也会极大地影响到网络取证技术的发展。因此研究IPv6环境下的网络取证技术，对提高网络在安全防御技术和打击计算机网络犯罪方面具有深远的理论实践意义，这也是目前全世界学术界和工业界共同关注的前沿研究领域。

2 IPv6环境下的网络取证

2.1 IPv6下网络取证的特点与难点

1)协议分析时，由于IPv6使用128位地址，因此为了适应新的数据包格式，需要定义新的数据结构。

2)IPv6采用分片扩展头，因此，必须在完整地汇集了扩展报文头，并详细分析之后，才能对网络层的分片数据进行重组，这一点与现行的IPv4是完全不同的。

3)由于IPv6的强制标准IPSec协议，使得取证人员在获取犯罪证据的时候，必须借助相应的密码分析技术，解密被通过ESP加密的数据，才能从启用了该协议的网络中得到有用的证据数据。

4)与IPv4环境不同，在IPv6网络环境下，一个主机可拥有多个地址，一个网络节点也可以在同一个网络接口上配置多个地址。这样导致的结果就是，在某个时间点追踪攻击是由哪个IP发起的变得十分额困难。但是，在日志分析中还原攻击场景也不是不可能，对整个系统设置时钟同步能达到一定的效果。

5)在IPv4到IPv6的过渡期，大量系统广泛采用了双栈和隧道机制。其中，双栈机制有可能让网络服务暴露在网络上，比如IPv6的有效链接就有可能允许攻击者通过IPv4的网关设备或者防火墙。双栈机制中两种协议之间也有可能存在部分协议安全漏洞，这时候，攻击者可以利用这种漏洞逃避安全检测，甚至于实施攻击行为。同时由于隧道机制只是简单的封装和解封来源的数据包，并不会严格检查IPv4与IPv6地址间的关系，也可能会存在防火墙被“穿透”的问题。

由于在IPv6环境下网络取证方面存在的这些难点1，使得打击计算机网络犯罪变得越来越具有挑战性。在此环境下，研究网络取证技术就变得尤为重要。本文针对IPv6数据包在数据结构上的差异来研究网络取证技术，提出了一种基于信息熵的协议分析算法，该算法使用合适的数据结构，经典的分析过程研究网络取证，取得了良好有效的结果。

2.2 网络取证

网络取证2是一种通过捕获、记录、分析网络事件来发现攻击事件的动态安全技术。该技术采用主动出击方法搜集网络犯罪证据，查找入侵来源，能够有效的防范网络入侵。主要表现为，研究网络活动数据或流量，分析研究结果以发现违反安全策略的行为，防止网络侵害动作的发生。

传统的取证模型如图1所示，取证是在犯罪发生之后或者再迟一点犯罪被发现之后才开始进行。这种事后取证模型的实现一般要结合多种网络安全工具，例如IDS、蜜罐、取证工具等，但在IPv6网络下，事后取证会存在有很多难点。

图1 传统的取证模型

对网络入侵的取证如图2所示，与传统取证过程不同的地方是，取证周期是从取证行为开始的，即在犯罪发生前就开始收集证据。这时，我们可以通过入侵检测技术来阻止已知的或未知的攻击，并能证明确实实施了攻击。尤其在无法阻止攻击并产生了危害之后，这种网络取证模型能够通过取证技术，为打击计算机网络犯罪提供电子证据。使用这种取证方式实时地监测系统状态，大大提高了打击网络犯罪的能力。

图2 网络入侵下的取证模型

在该环境下，为了不影响入侵检测系统的主要功能，采用以网络取证为主体的基础上，提出一种基于信息熵的协议分析算法。这种方式使得入侵检测仅仅是作为网络取证的一种手段和工具，并不影响获取信息等功能的使用，以此方法来研究和分析网络攻击与网络犯罪，能到达很好的效果。

3 协议分析技术

常见的网络取证应用技术有IDS取证技术、蜜阱取证技术、恶意代码技术、入侵容忍技术、网络监控和传感器技术、网络透视技术、Agent技术、SVM取证技术、协议分析技术。在这里我们使用协议分析技术研究网络取证模型与算法，有很重要的理论意义。

3.1 定义

在网络通信中，网络协议定义了标准的与层次性的网络数据包。在这里，协议分析技术根据现有的协议模式，利用网络协议的高度规则性，在规定的位置取值之后逐层分析，将所有协议构成一棵协议树，该协议树的一个结点表示一个特定的协议。那么，对任何一个网络数据包的分析，就是从树的根到某个叶子的一条路径。

在网络环境中，协议分析技术作为一种新的安全技术，是从传统的模式匹配技术发展而来的。它利用协议特征做数据分析，采用网络数据规范和格式化的特点，结合高速数据包获取，协议解析等操作，利用网络协议的高度规则性，从协议数据信息中分析通讯双方交互的过程，快速探测网络攻击的存在，完成特定的功能。

在新一代网络环境中，最新的协议分析技术是新一代系统探测攻击的主要技术，该技术不仅可以通过网络协议的高度规则性，探测网络攻击的存在。还可以重组碎片，以此防止碎片攻击。同时，相对于其他入侵检测技术，该技术仅与具体的协议格式有关，因此具有更快的分析速度，并能极大的降低误报率。这在研究网络取证过程中，是很重要的性能因素。

3.2 功能

协议分析检测方法3分为以下步骤：(1)构造检测规则。根据协议标准和已知的攻击特征做这一步。(2)解析。使用上一步的检测规则将数据包解析为单个的数据包。(3)分析并检测：根据上一步单个数据包中的协议首部和数据载荷完成该步骤。(4)循环以上几步，完成协议分析。

协议分析的主要功能是辨别数据包的协议类型，以便后续数据分析程序检测数据包，分析出不同的攻击类型。具体做法是使用一棵二叉树表示所有的协议，以此构成一棵协议树，树结构中的每个结点代表一种特定的协议。动态的配置并维护该协议树，就能够实时、高效、灵活地进行协议分析。利用这种方式并结合网络协议的层次性，能够快速判断是否产生了攻击，还能够大幅度地减少匹配的计算量。这种方法的高效性和灵活性对网络取证过程产生了很重要的意义，因此，在研究IPv6环境下基于入侵检测的网络取证过程中，主要采用了协议分析技术完成数据的分析。

4 基于信息熵的协议分析算法

首先，进行该方法的流程分析之前，需要清楚的两个依据：

(1)信息熵的优点在于其不关心离散量的本身，只关心该离散量出现的概率分布。所以，当离散量的概率分布有一个比较明显的改变的时候，信息熵能够以比较小的代价得知这种变化。

(2)降维之后阈值的选取不是一成不变的，根据所分析攻击类型的结果不同，及时调整阈值，直到区分结果达到一个适当的精度。

基于信息熵的协议分析网络取证算法的核心思想是：通过信息熵降低海量数据的维度，剩下的数据与给定阈值比较，超出阈值范围则为异常数据，否则为正常数据。

算法基本步骤如下：

(1)输入所收集的数据库。

(2)计算信息熵。

(3)将所得信息熵与已标记数据集对比，相关性大的做累加并格式化操作，相关性小的则丢弃。

(4)降维后的数据与阈值相比，非正常的标记出攻击类型，正常的输出为正常类型。

(5)所有数据处理完毕，并输出结果，算法结束。

算法流程图如图3所示：

图3 算法流程图

5 结束语

随着下一代互联网应用的大量增加、网络速度的加快、以及网络规模的急剧扩大。IPv6在网络保密性和完整性方面比IPv4做了更好的改进，在可控性和抗否认性方面也有了新的保证，但由此也对网络取证带来了新的挑战。本文在分析了IPv6环境下网络取证的特点与难点后，给出了基于入侵检测的网络取证模型，在研究了新一代协议分析技术的主要功能和优势之后，提出了基于信息熵的协议分析算法研究网络取证技术，以此来研究网络取证无疑是一个很好的方向。因此，在此基础上继续研究IPv6环境下的网络取证技术，具有重要的理论和实践意义。

[1]梅锋,孙东滨.IPv6环境下网络取证研究[J].信息网络安全, 2012(11)：82-5.

[2]张有东.网络取证技术研究[D].南京航空航天大学,2007.

[3]陈微微.网络取证系统的研究与设计[D].北京交通大学, 2014.

A protocol Analysis Algorithm Based on Information Entropy

ZHANG Ying,GAO Yu-zhuo,HUA Bin
(College of Information and Engineering,NingXia University,Yinchuan 750021,China)

As IPv4 addresses are going to exhausted,IPv4 replaced by IPv6 is the only way.There will be a lot of problems in net⁃work forensics on the IPv6 environment.On the basis of the analysis on the basic message of IPv6 protocol format,this paper ana⁃lyzed the difficulties of network forensics on the IPv6 environment,proposed an algorithm to solve the problem of network fo⁃rensics,the protocol analysis algorithm Based on information entropy,then presented the algorithm analysis process.

IPv6;network forensics;protocol analysis

TP393

A

1009-3044(2017)21-0208-02

2017-06-23

(CERNET)下一代互联网技术创新项目(NGII20160401)

张莹(1992—)，女，陕西渭南人，硕士，研究方向为计算机网络与普适计算；通讯作者：高玉琢(1961—)，男，教授，信息工程学院院长，主要从事网络信息安全、计算机网络方向研究。